Lockbit
LockBit, riconosciuto anche come LockBit Black o Lockbit 3.0, è uno dei più grandi gruppi di ransomware al mondo e ha orchestrato ampi cyberattacchi in vari settori, colpendo migliaia di organizzazioni a livello globale con le sue strategie implacabili e adattive.
L'origine di Lockbit
Le origini di LockBit risalgono al settembre 2019, quando è stata osservata la prima attività nota del ransomware "ABCD", considerato il predecessore di LockBit. Nel gennaio 2020, LockBit ha iniziato a comparire con il suo nome attuale sui forum di criminalità informatica in lingua russa. Da questo punto di partenza, LockBit è diventato rapidamente una delle famiglie di ransomware più importanti nel panorama della criminalità informatica, adottando un modello di Ransomware-as-a-Service (RaaS) che include un sito di leak dedicato (DLS) e un portale di negoziazione del riscatto. Gli affiliati si iscrivono per utilizzare i costruttori di ransomware di LockBit, gestiscono le nuove vittime tramite il DLS e possono anche utilizzare "StealBit", uno strumento per il furto di informazioni integrato nelle versioni successive di LockBit.
Una pietra miliare significativa è arrivata nel giugno 2021 con il debutto di LockBit 2.0 (spesso indicato come LockBit Red). Mentre la popolarità e l'impatto di LockBit stavano già crescendo, questo rilascio ha ampliato drasticamente la visibilità del gruppo. Nell'ottobre 2021 è apparsa la versione 1.0 di LockBit Linux-ESXi Locker, che ha ampliato le capacità di LockBit di colpire i sistemi Linux e VMware ESXi. Gli operatori del ransomware hanno continuato a evolvere il loro prodotto nel marzo 2022 con la comparsa di LockBit 3.0, chiamato anche LockBit Black, unanuova variante che condivide analogie di codice con i ransomware BlackMatter e Alphv (BlackCat). Sebbene la sua prima apparizione sia stata segnalata nel marzo 2022, molti indicano il giugno 2022 come una data di lancio significativa, quando LockBit 3.0 è diventato ampiamente adottato. LockBit Red (il rebranded LockBit 2.0) è rimasto il costruttore predefinito per la maggior parte degli affiliati, mentre LockBit Black era riservato agli affiliati che avevano richiesto oltre 2,5 milioni di dollari in riscatti. Questa versione introdusse anche funzionalità avanzate, come l'uccisione di processi specifici o la definizione di liste di permessi per file e dispositivi, e incluse un programma di bug bounty che offriva ricompense fino a 10 milioni di dollari.
Nel settembre 2022, una fuga di notizie sul costruttore di LockBit 3.0 ha permesso agli affiliati non LockBit di generare payload LockBit, accelerandone la diffusione. La successiva iterazione del ransomware, LockBit Green, è stata presentata nel gennaio 2023 e, secondo quanto riferito, incorporava il codice sorgente di Conti versione 3 trapelato. A differenza di LockBit Black, LockBit Green non richiedeva prove di richieste di riscatto elevate, rendendolo un'offerta più inclusiva per una più ampia gamma di operatori criminali informatici. Quattro mesi dopo, nell'aprile 2023, una nuova variante di LockBit macOS è emersa nei repository malware open-source, rispecchiando in gran parte le funzionalità della versione Linux/ESXi di LockBit e sottolineando la continua spinta del gruppo a infettare il maggior numero possibile di piattaforme.
La pressione delle forze dell'ordine contro LockBit si è intensificata nel febbraio 2024, quando l'"Operazione Cronos", uno sforzo multinazionale coordinato, ha portato al sequestro temporaneo del suo DLS e del portale affiliato. Sebbene i servizi di LockBit siano stati ripristinati cinque giorni dopo, ulteriori azioni nel maggio 2024 hanno portato a incriminazioni e sanzioni nei confronti di diversi membri chiave del gruppo, tra cui un cittadino russo identificato come sviluppatore e amministratore principale. Nel dicembre 2024, LockBit ha reagito a questi problemi rilasciando la versione LockBit 4.0che in particolare ha rimosso l'opzione di generare payload LockBit Red. Nonostante le continue interruzioni, LockBit ha mantenuto la sua posizione di formidabile forza ransomware aggiornando regolarmente le sue offerte e continuando ad attrarre affiliati attraverso il suo framework RaaS.
Fonti: CISA & Crowdstrike
Paesi presi di mira da Lockbit
Nonostante le affermazioni di Lockbit sulla neutralità politica, un numero sostanziale di vittime sembra provenire dagli Stati membri della NATO e dai loro alleati.
Circa il 50% degli attacchi che hanno coinvolto il ceppo LockBit 3.0 hanno colpito aziende negli Stati Uniti. Gli hacker che utilizzano Lockbit hanno ricevuto più di 91 milioni di dollari in pagamenti di riscatti dalle vittime statunitensi.
Anche il Brasile e l'India sono molto bersagliati.
Settori presi di mira da Lockbit
L'industria manifatturiera viene attaccata frequentemente da LockBit, ma non viene individuato un singolo settore, il che sottolinea l'indiscriminatezza dei bersagli del gruppo.
Sebbene in genere si tratti di piccole e medie imprese, anche grandi aziende come il gigante dell'IT Accenture non sono immuni dalla portata di LockBit.
Fonte: SOCRadar
Vittime di Lockbit
Ad oggi, 1999 vittime sono state vittime delle operazioni dannose di Lockbit.
Metodo di attacco di Lockbit
I partecipanti a LockBit 3.0 accedono alle reti tramite:
- compromettere le credenziali dell'account esistente
- Utilizzo delle violazioni RDP
- sfruttare le vulnerabilità dei sistemi rivolti al pubblico
- navigazione verso siti web dannosi durante la normale navigazione
- condurre attacchiphishing
LockBit 3.0 cerca di ottenere livelli di accesso più elevati quando le autorizzazioni attuali sono inadeguate e utilizza le funzioni di login automatico per elevare i privilegi.
LockBit 3.0 nasconde la sua attività criptando le comunicazioni con i server di controllo e auto-cancellandosi dopo l'esecuzione, e procederà alla decriptazione solo quando verrà fornita la password corretta.
Per rimanere integrato in una rete, LockBit 3.0 manipola gli account utente compromessi e configura i sistemi per il login automatico.
LockBit 3.0 utilizza ProDump di Microsoft Sysinternals per estrarre i contenuti della memoria di processo da LSASS.exe.
LockBit 3.0 esegue la scansione delle reti utilizzando SoftPerfect Network Scanner, raccoglie dati dettagliati sul sistema e sul dominio ed evita di infettare i sistemi con impostazioni linguistiche specifiche.
Per la penetrazione della rete interna, LockBit 3.0 utilizza il software di desktop remoto Splashtop.
LockBit 3.0 imposta il comando e il controllo utilizzando FileZilla e automatizza le interazioni sicure con la shell tramite Plink sui sistemi Windows. Durante il suo funzionamento, LockBit 3.0 esegue i comandi e utilizza Chocolatey, un gestore di pacchetti di Windows, per la gestione del software.
LockBit 3.0 utilizza il suo strumento personalizzato Stealbit e i popolari servizi di cloud per trafugare dati dalle reti.
LockBit 3.0 interrompe le operazioni cancellando i registri, svuotando il cestino, criptando i dati, arrestando i processi e i servizi, cancellando le copie shadow e alterando l'aspetto del sistema infetto con le proprie immagini.
I partecipanti a LockBit 3.0 accedono alle reti tramite:
- compromettere le credenziali dell'account esistente
- Utilizzo delle violazioni RDP
- sfruttare le vulnerabilità dei sistemi rivolti al pubblico
- navigazione verso siti web dannosi durante la normale navigazione
- condurre attacchiphishing
LockBit 3.0 cerca di ottenere livelli di accesso più elevati quando le autorizzazioni attuali sono inadeguate e utilizza le funzioni di login automatico per elevare i privilegi.
LockBit 3.0 nasconde la sua attività criptando le comunicazioni con i server di controllo e auto-cancellandosi dopo l'esecuzione, e procederà alla decriptazione solo quando verrà fornita la password corretta.
Per rimanere integrato in una rete, LockBit 3.0 manipola gli account utente compromessi e configura i sistemi per il login automatico.
LockBit 3.0 utilizza ProDump di Microsoft Sysinternals per estrarre i contenuti della memoria di processo da LSASS.exe.
LockBit 3.0 esegue la scansione delle reti utilizzando SoftPerfect Network Scanner, raccoglie dati dettagliati sul sistema e sul dominio ed evita di infettare i sistemi con impostazioni linguistiche specifiche.
Per la penetrazione della rete interna, LockBit 3.0 utilizza il software di desktop remoto Splashtop.
LockBit 3.0 imposta il comando e il controllo utilizzando FileZilla e automatizza le interazioni sicure con la shell tramite Plink sui sistemi Windows. Durante il suo funzionamento, LockBit 3.0 esegue i comandi e utilizza Chocolatey, un gestore di pacchetti di Windows, per la gestione del software.
LockBit 3.0 utilizza il suo strumento personalizzato Stealbit e i popolari servizi di cloud per trafugare dati dalle reti.
LockBit 3.0 interrompe le operazioni cancellando i registri, svuotando il cestino, criptando i dati, arrestando i processi e i servizi, cancellando le copie shadow e alterando l'aspetto del sistema infetto con le proprie immagini.
TTP utilizzati da Lockbit
Come rilevare Lockbit con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è il ransomware LockBit?
LockBit è un Ransomware-as-a-Service (RaaS) che cripta i dati di un'organizzazione e chiede un riscatto per la chiave di decriptazione. È noto per la sua furtività, la velocità e l'uso di un doppio schema di estorsione.
Come fa LockBit a ottenere l'accesso iniziale alle reti?
LockBit spesso ottiene l'accesso iniziale attraverso vari mezzi, tra cui lo sfruttamento di protocolli desktop remoti (RDP), phishing, spearphishing e l'utilizzo di credenziali di account precedentemente violati.
Cosa rende LockBit 3.0 diverso dalle versioni precedenti?
LockBit 3.0 è più modulare ed evasivo, con una crittografia migliorata e la possibilità di personalizzare il payload dell'attacco. Ha incorporato caratteristiche di altri ransomware come BlackMatter e BlackCat.
LockBit è stata coinvolta in incidenti informatici significativi?
Sì, LockBit è stato responsabile di numerosi attacchi alle aziende a livello globale, compresi incidenti di alto profilo che hanno coinvolto grandi multinazionali.
A quali settori si rivolge tipicamente LockBit?
LockBit non si rivolge a un settore specifico. È noto che prende di mira un'ampia gamma di settori, tra cui l'assistenza sanitaria, l'istruzione e la produzione.
Come gestisce LockBit il processo di riscatto?
LockBit di solito lascia una nota di riscatto con istruzioni di pagamento all'interno del sistema compromesso. Il pagamento viene solitamente richiesto in criptovaluta e le trattative vengono talvolta condotte sul dark web.
Quali misure difensive possono essere efficaci contro LockBit?
L'aggiornamento e il patching regolari dei sistemi, l'implementazione di solidi controlli di accesso, la formazione frequente sulla sicurezza, l'utilizzo di strumenti avanzati di rilevamento delle minacce e il mantenimento di backup offline sono difese fondamentali.
Sono disponibili strumenti di decriptazione per i file criptati da LockBit?
Se siete stati colpiti da LockBit, la National Crime Agency (NCA) ha acquisito 1.000 chiavi di decriptazione dal sito di LockBit che possono aiutare a decriptare i dati rubati.
Qual è la migliore linea d'azione se la mia rete è compromessa da LockBit?
Isolate i sistemi colpiti, avviate un piano di risposta agli incidenti e contattate le forze dell'ordine e i professionisti della sicurezza informatica. Evitate di pagare il riscatto, perché non garantisce il recupero dei dati e può finanziare ulteriori attività criminali.
Cosa si sa degli operatori dietro LockBit?
Si ritiene che gli operatori facciano parte di un sofisticato gruppo di criminali informatici che opera con un modello RaaS, reclutando affiliati per diffondere il ransomware rimanendo nascosti e mantenendo l'anonimato.